ویلیام ترتون و جوردن رابرتسون (بلومبرگ) – یک حمله پیچیده به نرم افزار رایانامه تجاری که به طور گسترده از مایکروسافت استفاده می شود ، در حال تبدیل شدن به یک بحران امنیت سایبری جهانی است ، زیرا هکرها قبل از این که سیستم های رایانه ای خود را ایمن کنند ، به آلوده کردن هرچه بیشتر قربانیان می پردازند.
به گفته یك مقام ارشد سابق آمریكا با آگاهی از تحقیقات ، این حمله كه به گفته مایکروسافت با یك گروه هك تحت حمایت دولت چین آغاز شده است ، تاكنون دست كم 60،000 قربانی شناخته شده در سطح جهان داشته است. به نظر می رسد بسیاری از آنها مشاغل کوچک یا متوسطی هستند که درگیر شبکه گسترده ای هستند که مهاجمان در هنگام تلاش مایکروسافت برای خاموش کردن هک بازی می کنند.
سازمان بانکی اروپا یکی از آخرین قربانیان شد زیرا روز یکشنبه گفت که ممکن است دسترسی به داده های شخصی از طریق ایمیل های موجود در سرور مایکروسافت به خطر بیفتد. به گفته هانترس ، یک شرکت الیکوت سیتی ، مریلند که امنیت مشتریان را نظارت می کند ، در روز جمعه در یک وبلاگ ، سایر افرادی که تاکنون شناسایی شده اند شامل بانک ها و ارائه دهندگان برق و همچنین خانه های افراد مسن و یک شرکت بستنی سازی هستند.
یک شرکت امنیت سایبری ایالات متحده که خواست نامش فاش نشود گفت که متخصصان این شرکت به تنهایی با حداقل 50 قربانی کار می کنند و سعی می کنند به سرعت مشخص کنند که هکرها چه داده هایی را گرفته اند در حالی که سعی در بیرون انداختن آنها نیز دارند.
این حمله که به سرعت در حال افزایش است ماهها پس از نقض شرکت SolarWinds توسط مظنونان به حمله سایبری روسی رخ داد و نگرانی مقامات امنیت ملی آمریکا را تا حدی جلب کرد زیرا جدیدترین هکرها توانستند به این سرعت بسیاری از قربانیان را مورد حمله قرار دهند. محققان می گویند در مراحل آخر حمله ، به نظر می رسد عاملان این فرآیند را خودکار کرده اند و طی چند روز ده ها هزار قربانی جدید در سراسر جهان جمع آوری کرده اند.
نیویورک تایمز به نقل از مقامات ناشناس گزارش داد ، واشنگتن در حال آماده سازی اولین اقدامات مهم خود برای تلافی جویی در برابر نفوذهای خارجی طی سه هفته آینده است. این طرح مجموعه ای از اقدامات مخفیانه را از طریق شبکه های روسی – با هدف ارسال پیام به ولادیمیر پوتین و سرویس های اطلاعاتی وی – همراه با تحریم های اقتصادی در نظر گرفته است. روزنامه گزارش داد كه رئیس جمهور جو بایدن می تواند یك فرمان اجرایی برای حمایت از آژانس های فدرال در برابر هك كردن روسیه صادر كند.
یک مقام کاخ سفید روز شنبه در نامه ای نوشت: “ما در حال انجام كامل پاسخ دولت برای ارزیابی و رسیدگی به تأثیرات آن هستیم.” “این یک تهدید فعال است که هنوز در حال توسعه است و ما از اپراتورهای شبکه می خواهیم که آن را بسیار جدی بگیرند.”
به گفته استیون آدایر ، رئیس گروه هک چینی ، که مایکروسافت آن را هافنیوم می نامد ، به نظر می رسد از طریق نرم افزار رایج ایمیل Exchange این شرکت به شبکه های رایانه ای خصوصی و دولتی نفوذ کرده است و در ابتدا تعداد کمی از قربانیان را هدف قرار داده است. Volexity مستقر در ویرجینیا در شمال. شرکت امنیت سایبری به مایکروسافت کمک کرد تا نقایصی را که توسط هکرهایی که غول نرم افزار در روز سه شنبه برای آنها اصلاح کرده است ، مورد استفاده قرار دهد ، شناسایی کند.
نتیجه یک بحران امنیت سایبری دوم است که فقط چند ماه پس از اینکه هکرهای روسی مظنون به تخریب 9 آژانس فدرال و حداقل 100 شرکت از طریق دستکاری به روزرسانی از سازنده نرم افزار مدیریت فناوری SolarWinds LLC بودند ، می آید. کارشناسان امنیت سایبری که از سیستم های رایانه ای جهان دفاع می کنند ، احساس ناامیدی و خستگی فزاینده ای را ابراز داشتند.
‘خسته شدن’
چارلز کارماكال ، معاون ارشد رئیس FireEye Inc ، شركت امنیت سایبری مستقر در كالیفرنیا ، گفت: “افراد خوب خسته می شوند.”
سخنگوی وزارت امور خارجه چین روز چهارشنبه در پاسخ به سوالی درباره انتساب مایکروسافت به این حمله به چین ، اظهار داشت که این کشور “قاطعانه با حملات سایبری و سرقت سایبری از هر لحاظ مخالف و مقابله می کند” و اظهار داشت که سرزنش یک ملت خاص “یک مسئله سیاسی بسیار حساس” است.
هم حادثه اخیر و هم حمله SolarWinds نشان دهنده شکنندگی شبکه های مدرن و پیچیدگی هکرهای تحت حمایت دولت برای شناسایی آسیب پذیری های دشوار یا حتی ایجاد آنها برای انجام جاسوسی است. این حملات همچنین شامل حملات سایبری پیچیده ای است که شعاع انفجار اولیه آنها شامل تعداد زیادی رایانه است و سپس با تمرکز مهاجمان بر تلاش آنها ، که حل آنها ممکن است هفته ها یا ماهها به سازمانهای آسیب دیده بکشد ، محدود می شود.
در مورد اشکالات مایکروسافت ، به سادگی با استفاده از به روزرسانی های ارائه شده توسط شرکت ، مهاجمان از یک شبکه حذف نخواهند شد. کارماکال گفت که بررسی سیستم های آسیب دیده لازم است. و کاخ سفید نیز بر همین موضوع تأکید کرد ، از جمله توییت های شورای امنیت ملی که به لیست رو به رشد قربانیان تأکید می کند تا به دقت رایانه های خود را برای نشانه های مهاجمان شانه بزنند.
در ابتدا ، به نظر آدیر ، هکرهای چینی در ابتدا اهداف اطلاعاتی با ارزش بالا را در ایالات متحده هدف قرار می دادند. حدود یک هفته پیش ، همه چیز تغییر کرد. وی گفت که سایر گروه های هک ناشناس در مدت کوتاهی شروع به حمله به هزاران قربانی کردند و نرم افزارهای مخفی را وارد کردند که می تواند بعدا به آنها دسترسی پیدا کند.
“بهره برداری گسترده”
آدیر گفت: “آنها به شهر رفتند و شروع به بهره برداری گسترده كردند – حملات بی رویه به سرورهای صرافی ، به معنای واقعی کلمه در سراسر جهان ، بدون توجه به هدف و اندازه و صنعت ،. “آنها هر سروری را که می توانستند می زدند.”
آدیر گفت که ممکن است سایر گروه های هکری نیز همان نقایص را یافته و حملات خود را آغاز کرده باشند – یا ممکن است چین خواسته باشد تا آنجا که ممکن است بیشتر قربانیان را اسیر کند ، سپس مرتب کند که دارای ارزش اطلاعاتی است.
در هر صورت ، حملات به قدری موفقیت آمیز – و به قدری سریع – انجام شده اند که به نظر می رسد هکرها راهی برای خودکارسازی فرآیند یافته اند. وی گفت: “اگر از سرور Exchange استفاده می کنید ، به احتمال زیاد قربانی شده اید.”
داده های سایر شرکت های امنیتی نشان می دهد که دامنه حملات ممکن است خیلی بد نباشد. محققان از Huntress حدود 3000 سرور آسیب پذیر را در شبکه های شرکای خود بررسی کردند و حدود 350 عفونت را کشف کردند – یا چیزی بیش از 10٪.
در حالی که هکرهای SolarWinds سازمانهای مختلف را آلوده کردند ، بسیاری از آخرین قربانیان ، سازمانهای کوچک و متوسط و دولت محلی هستند. سازمانهایی که می توانند بیشتر تحت تأثیر قرار بگیرند ، موسساتی هستند که دارای یک سرور ایمیل هستند که نرم افزار آسیب پذیر را اجرا می کند و مستقیماً در معرض اینترنت قرار دارد ، این یک تنظیم خطرناک است که افراد بزرگتر معمولاً از آن جلوگیری می کنند.
جیم مک موری ، بنیانگذار Milton Security Group Inc ، سرویس نظارت بر امنیت سایبری در جنوب کالیفرنیا ، گفت: سازمان های کوچکتر “در حال حاضر به دلیل خاموش کردن Covid درگیر هستند – این وضعیت بدتری را تشدید می کند.” “من از کار با چند مشتری می دانم که این امر زمان زیادی را برای ردیابی ، تمیز کردن و اطمینان از اینکه خارج از بردار حمله اولیه تحت تأثیر قرار نگرفته اند ، صرف می کند.”
مک موری گفت که این مسئله “بسیار بد” است اما اضافه کرد که خسارت باید تا حدی با این واقعیت کاهش یابد که “این قابل انعطاف بود ، قابل اصلاح بود.”
مایکروسافت گفت مشتریانی که از سیستم ایمیل مبتنی بر آن استفاده می کنند تحت تأثیر قرار نمی گیرند.
چندین متخصص گفتند ، استفاده از اتوماسیون برای انجام حملات بسیار پیچیده ممکن است دوره جدید و ترسناکی را در امنیت سایبری رقم بزند ، دوره ای که می تواند منابع محدود مدافعان را غرق کند.
الکس استاموس ، مشاور امنیت سایبری گفت ، برخی از عفونت های اولیه به نظر می رسد نتیجه اسکن خودکار و نصب بدافزار باشد. وی گفت ، محققان به دنبال عفونت هایی هستند که منجر به گام بعدی هکرها و سرقت داده ها – مانند بایگانی نامه های الکترونیکی – و بعداً برای یافتن هرگونه اطلاعات با ارزش در آنها می شوند.
استاموس گفت: “اگر من یكی از این تیم ها را اداره می كردم ، ایمیل را در اسرع وقت بی رویه می كشیدم و سپس آنها را برای طلا استخراج می كردم.”